WikiSort.ru - Не сортированное

ПОИСК ПО САЙТУ | о проекте

Абсолютно стойкий шифр — шифр, характеризующийся тем, что криптоаналитик принципиально не сможет извлечь статистическую информацию относительно выбираемых ключей из перехватываемого шифротекста.

Математически понятие абсолютно стойкого шифра было введено Клодом Шенноном в 1945 году в работе «Математическая теория криптографии».

Вспомогательные понятия

Пусть $X$ и $Y$ - алфавиты открытого и шифрованного текста такие, что $|X|>1,$ $|Y|>1,$ $|Y|\geq |X|,$ $l\in \mathbb {N}$ .

Шифрование задаётся инъективным отображением $e_{j}:X\rightarrow Y$ , дешифрование — отображением $d_{j}:e_{j}(X)\rightarrow X,$ $j\in K=\{0,1,...,n-1\}$ . Наборы правил шифрования и дешифрования $E=\{e_{j},j\in K\},D=\{d_{j},j\in K\}$ .

Опорный шифр замены — совокупность $S=(X,K,Y,E,D)$ .

$P(X^{l})=\{p_{X^{l}}({\overrightarrow {x}}),{\overrightarrow {x}}\in X^{l}\}$ — распределение вероятностей для открытого текста, $P(K^{l})=\{p_{K^{l}}({\overrightarrow {k}}),{\overrightarrow {k}}\in K^{l}\}$ — для комбинации номеров отображений, $P(Y^{l})=\{p_{Y^{l}}({\overrightarrow {y}}),{\overrightarrow {y}}\in Y^{l}\}$ — для шифротекста, где $X^{l},K^{l},Y^{l}$ — декартовы степени множеств $X,K,Y$ .

Учитывая, что не каждая комбинация символов длины $l$ из алфавита $X$ может появится в открытом тексте, введём: $X^{(l)}=\{{\overrightarrow {x}}:p_{X^{l}}({\overrightarrow {x}})>0\},Y^{(l)}=\{{\overrightarrow {y}}:p_{Y^{l}}({\overrightarrow {y}})>0\}$ .

Шифр замены с неограниченным ключом — семейство $S_{H}=(S_{H}^{(l)},l\in \mathbb {N} )$ , где $S_{H}^{(l)}$ — $l$ -й опорный шифр замены с неограниченным ключом, который представляет собой совокупность $(X^{(l)},K^{l},Y^{(l)},E^{(l)},D^{(l)},P(X^{(l)}),P(K^{l}),P(Y^{(l)}))$ :

$E^{(l)}=\{e_{\overrightarrow {k}}=e_{k_{1}}(x_{1})...e_{k_{l}}(x_{l})\in Y^{l},{\overrightarrow {k}}\in K^{l}\},$ $D^{(l)}=\{d_{\overrightarrow {k}}=d_{k_{1}}(y_{1})...d_{k_{l}}(y_{l})\in X^{l},{\overrightarrow {k}}\in K^{l}\}$ ${\overrightarrow {k}}=k_{1}...k_{l},e_{k_{i}}\in E,x_{i}\in X,d_{k_{i}}\in D,y_{i}\in e_{i}(X),i={\overline {1,l}}$

$p_{X^{(l)}}({\overrightarrow {x}})>0,\forall {\overrightarrow {x}}\in X^{(l)}$

$p_{K^{l}}({\overrightarrow {k}})>0,\forall {\overrightarrow {k}}\in K^{l}$ .

Введём конечное множество $K^{(l)}=\{f({\boldsymbol {k}},l),{\boldsymbol {k}}\in {\boldsymbol {K}}\}$ , где ${\boldsymbol {K}}$ — конечное множество ключей шифра, $f({\boldsymbol {k}},l)=k_{1}...k_{l}$ — ключевой поток, отвечающий ключу ${\boldsymbol {k}}$ и числу $l$ .

Шифр замены с ограниченным ключом — семейство $S_{O}=(S_{O}^{(l)},l\in \mathbb {N} )$ , для которого выполняется $p_{X^{(l)}}({\overrightarrow {x}})>0,\forall {\overrightarrow {x}}\in X^{(l)}$ , где $S_{O}^{(l)}$ есть та же совокупность, что и для шифра с неограниченным ключом, в которой вместо $K^{l}$ и $P(K^{l})$ используется множество $K^{(l)}$ и распределение $P(K^{(l)})$ .

Формальное определение

Пусть $p_{X^{(l)}|Y^{(l)}}({\overrightarrow {x}}|{\overrightarrow {y}})$ — вероятность, что было зашифровано сообщение ${\overrightarrow {x}}\in X^{(l)}$ при регистрации шифротекста ${\overrightarrow {y}}\in Y^{(l)}$ . Шифр называется абсолютно стойким, если выполнено:

$p_{X^{(l)}|Y^{(l)}}({\overrightarrow {x}}|{\overrightarrow {y}})=p_{X^{(l)}}({\overrightarrow {x}})$ $\forall {\overrightarrow {x}}\in X^{(l)},\forall {\overrightarrow {y}}\in Y^{(l)},\forall l\in \mathbb {N}$ .

Другими словами, апостериорное распределение вероятностей $P_{X^{(l)}|Y^{(l)}}=\{p_{X^{(l)}|Y^{(l)}}({\overrightarrow {x}}|{\overrightarrow {y}}),x\in X^{(l)},y\in Y^{(l)}\}$ совпадает с априорным распределением $P(X^{(l)})$ . В терминах теории информации это означает, что условная энтропия сообщения при известном шифрованном тексте равна безусловной.

Основные свойства

Шифр замены с неограниченным ключом $S_{H}$ является совершенным, если и только если опорный шифр $S_{H}^{(l)}$ — совершенный.

Это утверждение следует из определения абсолютной стойкости. Поэтому далее для шифров с неограниченным ключом можем рассматривать лишь их опорные шифры.

Никакой шифр с ограниченным ключом $S_{O}$ не является совершенным.

Доказательство

Условная вероятность для шифра с ограниченным ключом:

$p_{X^{(l)}|Y^{(l)}}({\overrightarrow {x}}|{\overrightarrow {y}})=\sum _{{\overrightarrow {k}}\in K^{(l)}({\overrightarrow {x}},{\overrightarrow {y}})}p_{K^{(l)}}({\overrightarrow {k}})$ , где $K^{(l)}({\overrightarrow {x}},{\overrightarrow {y}})=\{{\overrightarrow {k}}\in K^{(l)}:e_{k_{i}}(x_{i})=y_{i},i={\overline {1,l}}\}$ .

Покажем, что для совершенного шифра верно: $|K^{(l)}({\overrightarrow {x}},{\overrightarrow {y}})|\geq 1$ $\forall {\overrightarrow {x}}\in X^{(l)},\forall {\overrightarrow {y}}\in Y^{(l)},\forall l\in \mathbb {N}$ . Действительно, если бы $|K^{(l)}({\overrightarrow {x}},{\overrightarrow {y}})|=0$ при некоторых ${\overrightarrow {x}}$ и ${\overrightarrow {y}}$ , то $p_{Y^{(l)}|X^{(l)}}({\overrightarrow {y}}|{\overrightarrow {x}})=0$ . Так как $p_{X^{(l)}|Y^{(l)}}({\overrightarrow {x}}|{\overrightarrow {y}})={\frac {p_{X^{(l)}}({\overrightarrow {x}})\cdot p_{Y^{(l)}|X^{(l)}}({\overrightarrow {y}}|{\overrightarrow {x}})}{p_{Y^{(l)}}({\overrightarrow {y}})}}$ , то $p_{X^{(l)}}({\overrightarrow {x}})=0$ , что противоречит определению шифра с ограниченным ключом.

Теперь можно утверждать, что для совершенного шифра $|K^{(l)}|\geqslant |Y^{(l)}|$ , так как для любого фиксированного ${\overrightarrow {x}}$ существует ключ ${\overrightarrow {k}}$ такой, что $e_{\overrightarrow {k}}({\overrightarrow {x}})={\overrightarrow {y}}$ . Но это неравенство невозможно $\forall l\in \mathbb {N}$ , так как множество ${\boldsymbol {K}}$ конечно, а $|Y^{(l)}|$ неограниченно возрастает при росте $l$ , ведь $|Y^{(l)}|\geqslant |X^{(l)}|,$ $|X^{(l+1)}|>|X^{(l)}|$ .

Если шифр совершенный, то $|X|\leq |Y|\leq |K|$ .

Доказательство

Если провести рассуждения, аналогичные доказательству предыдущего свойства, но вместо множества $K^{(l)}({\overrightarrow {x}},{\overrightarrow {y}})$ использовать $K^{l}({\overrightarrow {x}},{\overrightarrow {y}})=\{{\overrightarrow {k}}\in K^{l}:e_{k_{i}}(x_{i})=y_{i},i={\overline {1,l}}\}$ , то также получим: $|K^{(l)}|\geqslant |Y^{(l)}|$ . Но в этом случае у нас нет ограничения на мощность множества $K^{(l)}$ . По первому свойству неравенство будет выполняться и при $l=1$ .

Теорема Шеннона

Формулировка

Шифр с неограниченным ключом, у которого $|X|=|Y|=|K|$ является совершенным тогда и только тогда, когда:

$1.$ $|K(x,y)|=1$ $\forall x\in X,\forall y\in Y$

$2.$ $p(k)={\frac {1}{|K|}}$ $\forall k\in K$

Доказательство

$(\Rightarrow 1)$

Так как $|Y|=|K|$ , то из $|K(x,y)|\geq 1$ следует, что при $k_{1}\neq k_{2}$ следует $e_{k_{1}}(x)\neq e_{k_{2}}(x)$ $\forall x\in X$ .

$(\Rightarrow 2)$

Занумеруем ключи следующим образом при фиксированном $y$ : $e_{k_{j}}(x_{j})=y,j={\overline {1,|X|}}$ . Получим:

$p(x_{j})=p(x_{j}|y)={\frac {p(y|x_{j})\cdot p(x_{j})}{p(y)}}={\frac {p(k_{j})\cdot p(x_{j})}{p(y)}}\Rightarrow p(k_{j})=p(y)$ $\forall j={\overline {1,|X|}}$ .

$(\Leftarrow 1,2)$

Используем ту же нумерацию, что и в предыдущем пункте, считая $y$ фиксированным. Применяя $1$ :

$p(y)=\sum _{(x_{j},k_{j}):e_{k_{j}}(x_{j})=y}p(x_{j})\cdot p(k_{j})={\frac {1}{N}}\cdot \sum _{j=1}^{N}p(x_{j})={\frac {1}{N}}$ . Применяя $1$ и $2$ :

$p(x_{j}|y)={\frac {p(x_{j})\cdot p(y|x_{j})}{p(y)}}=p(x_{j})$ . Получили определение абсолютной стойкости.

Общий вид

Исходя из теоремы Шеннона, правило шифрования опорного шифра замены $S$ , у которого $|X|=|Y|=|K|$ , можно представить в виде латинского квадрата:

$K/X$	$x_{1}$	$...$	$x_{\|X\|}$
$k_{1}$	$e_{k_{1}}(x_{1})$	$...$	$e_{k_{1}}(x_{\|X\|})$
$...$	$...$	$...$	$...$
$k_{\|X\|}$	$e_{k_{\|X\|}}(x_{1})$	$...$	$e_{k_{\|X\|}}(x_{\|X\|})$

При равновероятном использовании $k_{1},...,k_{|X|}$ система будет обладать абсолютной стойкостью. Практической реализацией такой системы, например, является шифр Вернама.

Замечание

Существуют абсолютно стойкие шифры, для которых количество символов в алфавите $|X|$ открытого текста меньше $|Y|$ . Например:

$X=\{x_{1},x_{2}\},Y=\{1,2,3\},K=\{k_{1},...k_{6}\}$

$K/X$	$x_{1}$	$x_{2}$
$k_{1},p(k_{1})={\frac {19}{80}}$	$1$	$2$
$k_{2},p(k_{2})={\frac {3}{20}}$	$1$	$3$
$k_{3},p(k_{3})={\frac {21}{80}}$	$2$	$1$
$k_{4},p(k_{4})={\frac {1}{10}}$	$2$	$3$
$k_{5},p(k_{5})={\frac {1}{8}}$	$3$	$1$
$k_{6},p(k_{6})={\frac {1}{8}}$	$3$	$2$

См. также

Литература

Габидулин Э. М., Кшевецкий А. С., Колыбельников А. И. Защита информации: учебное пособие — М.: МФТИ, 2011. — 225 с. — ISBN 978-5-7417-0377-9
<a href='https://wikidata.org/wiki/Track:Q4130888'></a><a href='https://wikidata.org/wiki/Track:Q26887236'></a><a href='https://wikidata.org/wiki/Track:Q26887244'></a><a href='https://wikidata.org/wiki/Track:Q26887242'></a>
К. Шеннон. Теория связи в секретных системах // Работы по теории информации и кибернетике / Перевод С. Карпова. — М.: ИЛ, 1963. — С. 243-322. — 830 с.
Зубов А.Ю. Криптографические методы защиты информации. Совершенные шифры. М..: Гелиос АРВ, 2005. — 160 с.

Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".

Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.

Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .

Текст в блоке "Читать" взят с сайта "Википедия" и доступен по лицензии Creative Commons Attribution-ShareAlike; в отдельных случаях могут действовать дополнительные условия.

Другой контент может иметь иную лицензию. Перед использованием материалов сайта WikiSort.ru внимательно изучите правила лицензирования конкретных элементов наполнения сайта.

2019-2025
WikiSort.ru - проект по пересортировке и дополнению контента Википедии